Voici plusieurs problèmes et solutions courants en matière de sécurité Web. J'espère qu'ils pourront être utiles à tout le monde.
1. Cross Site Scripting
Solution
xss se produit parce que les données saisies par l'utilisateur deviennent du code, il faut donc effectuer un traitement d'échappement HTML sur les données saisies par l'utilisateur. , et échappez et encodez les caractères spéciaux tels que les « crochets angulaires », les « guillemets simples » et les « guillemets doubles ».
2. Injection SQL
Lorsque vous signalez une erreur, essayez d'utiliser la page d'erreur pour écraser les informations de la pile
3. -falsification de demande de site (Cross- Site Request Forgery)
Solution
(1) Définir les cookies sur HttpOnly
server.xml est configuré comme suit
<Context docBase="项目" path="/netcredit" reloadable="false" useHttpOnly="true"/>
web.xml est configuré comme suit
(2) Ajouter un jeton
Ajoutez un champ masqué au formulaire, soumettez le champ masqué lors de la soumission, et le serveur vérifie le jeton.
(3) Identification via referer
Selon le protocole HTTP, il y a un champ dans l'en-tête HTTP pour Referer, qui enregistre l'adresse source de la requête HTTP. Si un attaquant souhaite mettre en œuvre une attaque CSRF, il doit falsifier des requêtes provenant d'autres sites. Lorsqu'un utilisateur envoie une requête via un autre site Web, la valeur du Referer demandé est l'URL de l'autre site Web. Par conséquent, la valeur du Referer peut être vérifiée pour chaque demande.
4. Vulnérabilité de téléchargement de fichiers
J'opère souvent sur Internet et je télécharge des images et des fichiers sur le serveur pour les stocker. les fichiers ne sont pas traités. Une vérification correcte amènera certains attaquants malveillants à télécharger des virus, des chevaux de Troie, des plug-ins, etc. sur le serveur, à voler des informations sur le serveur et même à provoquer le crash du serveur.
Par conséquent, les fichiers téléchargés doivent être vérifiés. Les premiers octets de nombreux fichiers sont corrigés. Par conséquent, en fonction du contenu de ces quelques octets, le type du fichier peut être déterminé. également appelés nombres magiques.
Définir une liste blanche de types
Recommandations associées : Sécurité du serveur Web
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Comment utiliser la fonction de longueur dans Matlab
Tutoriel Java
Quel est l'impact de la fermeture du port 445 ?
Quel fichier est mydrivers
comment ouvrir le fichier php
Comment acheter et vendre du Bitcoin sur la plateforme Ouyi
Comment résoudre le problème de l'échec du chargement de la DLL
emplacement.recherche
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
